Hack4S3cur1ty

보호되어 있는 글입니다.

보호되어 있는 글입니다.

보호되어 있는 글입니다.

이제 패스워드를 알아냈으니 암호화된 파일을 복호화 할 수 있다. 이미 널리 알려진 랜섬웨어(https://github.com/m0n0ph1/malware-1/tree/master/Hidden-tear)고,Decrpyter(https://www.bleepingcomputer.com/download/hidden-tear-decrypter/)또한 쉽게 구할 수 있다. filescan과 dumpfiles를 통해 암호화된 파일을 추출한 뒤, 123456789>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 filescanOffset(P) #Ptr #Hnd Access Name------------------ ------ ------ ------ ----0x000000007e4108..

주요 코드를 분석해보면, 1234567891011121314151617181920212223public void startAction() { string password = this.CreatePassword(15); string str = "\\Desktop\\"; string location = this.userDir + this.userName + str; this.SendPassword(password); this.encryptDirectory(location, password); this.messageCreator();} public string CreatePassword(int length) { StringBuilder stringBuilder = new StringBuilder(); Rand..

이것또한 직접 디버깅 하지 않아도 dnspy로 확인 가능하다.

malware파일인 vmware-tray.exe를 분석해보자. C# 인거같으니 dnspy로 열어보자. 랜섬웨어 파일이므로 직접 디버깅 하기는 어렵지만 정황상 비트코인 주소같다.

무슨소리인지 감이 안잡힌다. 일단 토렌트를 다운받은 흔적부터 찾아보자. 1234>vol.py -f OtterCTF.vmem --profile=Win7SP1x64 chromedownloadsVolatility Foundation Volatility Framework 2.6Row Id Current Path Target Path Start Time Received Total Bytes State Danger Interrupt End Time Opened Referer By Ext ID By Ext Name ETag Last Modified MIME Type Original MIME Type------ ------------------------------------------------------------..

malware가 어떻게 침투했는지 묻고있다.토렌트 사용 흔적이 있기 때문에 illigal habit중 하나라고 생각했고, 좀전에 추출한 Rick And Morty season 1 download.exe.torrent 을 분석하니 답을 찾을 수 있었다.